A botnet P2PInfect passou a comprometer clusters Kubernetes por meio de instâncias Redis expostas à internet, ampliando o risco para ambientes de nuvem e aplicações corporativas. A ameaça, escrita em Rust e ativa desde 2023, foi observada em ataques contra clusters do Google Kubernetes Engine.
A campanha explorada pelos operadores começa quando uma instância Redis fica acessível sem controles adequados de rede ou autenticação. A partir desse ponto, os invasores usam recursos legítimos do próprio Redis para transformar o serviço em parte da infraestrutura maliciosa.
Um dos métodos envolve o abuso do comando SLAVEOF, que força o Redis comprometido a se comportar como seguidor de um servidor controlado pelos criminosos. Com isso, o nó pode carregar módulos arbitrários e abrir caminho para execução de código dentro do contêiner.
O P2PInfect também explora a CVE-2022-0543, uma falha crítica de escape do sandbox Lua no Redis, com pontuação CVSS 10.0. A vulnerabilidade permite execução de código em versões vulneráveis e continua sendo perigosa em ambientes sem correções aplicadas.
Entre novembro de 2025 e fevereiro de 2026, pesquisadores da FortiGuard Labs observaram hosts Redis comprometidos estabelecendo conexões externas com a rede peer-to-peer da botnet. Esse modelo descentralizado dificulta bloqueios, já que não existe um único servidor de comando e controle.
Depois de integrado à malha P2P, o bot pode permanecer dormente, com baixa atividade aparente. Esse comportamento torna a detecção mais difícil em clusters Kubernetes movimentados, onde tráfego entre serviços e conexões de saída podem se misturar ao funcionamento normal das aplicações.
